网络安全技术对电子商务发展影响-毕业论文

江苏联合职业技术学院江苏联合职业技术学院 徐州经贸分院徐州经贸分院 20122012 届高职电子商务专业届高职电子商务专业 学生毕业论文学生毕业论文 论文题目 论文题目 网络安全技术对网络安全技术对 电子商务发展影响电子商务发展影响 姓姓 名 名 刘刘 晓晓 明明 学学 号 号 GZ070904201GZ070904201 指导老师 指导老师 杨杨 永永 靖靖 完成时间 完成时间 20122012 年年 0606 月月 1010 日日 网络安全技术对电子商务发展影响网络安全技术对电子商务发展影响 摘摘 要要 伴随互联网和信息技术的飞速发展 电子商务应运而生并在世界范围内得到了广泛 的发展和应用 电子商务是一种崭新的商务手段 它给人类带来了巨大的效益 电子商 精品文档 1欢迎下载1欢迎下载 务从根本上改变了人们传统的生活方式和思想观念 它是新世纪经济的新的增长点 代 表 21 世纪经济的发展方向 因而对未来的社会经济发展和商务活动具有特别重要的意义 但是互联网的跨国界 无主管 不设防 缺乏法律约束性等特性 在为我们带来机遇的 同时也带来了巨大的风险 各种大型的公司 单位通过网络与用户或其他相关行业系统 之间进行交流 提供各种网上的信息服务 但在这些网络用户中 存在竞争对手和恶意 破坏者 这些人会不断地寻找网上的漏洞 企图侵入公司内部网络 一旦内部网络被入 侵 机密的数据和资料就会被窃取 网络会被破坏 这会给用户带来难以预测的损失 因此 建立一个安全 便捷的电子商务应用环境 对信息提供足够的保护 已经成为影 响到电子商务健康发展的关键 本文主要从电子商务的出现开始 介绍电子商务的发展过程 各阶段的特点以及发 展趋势 同时 介绍网络安全技术的类型 特点和网络安全技术对电子商务发展的影响 关键词 关键词 电子商务 网络 网络安全 发展趋势 目目 录录 引引 言言 3 3 一 电子商务一 电子商务 4 4 一 电子商务的定义 一 电子商务的定义 4 4 二 电子商务的分类 二 电子商务的分类 5 5 三 电子商务的发展历程 三 电子商务的发展历程 6 6 四 电子商务的发展趋势 四 电子商务的发展趋势 7 7 二 网络安全技术二 网络安全技术 9 9 一 网络安全技术的定义 一 网络安全技术的定义 9 9 2 二 二 网络安全存在的问题网络安全存在的问题 1010 三 三 网络安全技术分类网络安全技术分类 1111 三 电子商务的安全问题及解决措施三 电子商务的安全问题及解决措施 1313 一 电子商务安全性要求 一 电子商务安全性要求 1313 二 电子商务存在的安全性问题 二 电子商务存在的安全性问题 1515 三 电子商务安全技术措施 三 电子商务安全技术措施 1717 四 电子商务安全认识及展望 四 电子商务安全认识及展望 1818 四 关于淘宝网的案例分析四 关于淘宝网的案例分析 1919 一 背景简介 一 背景简介 1919 二 交易流程 二 交易流程 1919 三 支付安全 三 支付安全 2121 四 淘宝网的网络安全 四 淘宝网的网络安全 2424 总总 结结 2626 参考文献参考文献 2727 谢谢 辞辞 2828 精品文档 3欢迎下载3欢迎下载 引引 言言 随着信息技术的发展 信息的处理传递速度得到了突破性的发展 不再受时间和区 域的限制 网络化和全球化已成为不可避免的发展趋势 网络用户的迅速膨胀给众多商 家带来了千载难逢的机遇 他们纷纷将眼光投向因特网 从刚开始单纯的完善发布信息 传递信息到借助传统贸易手段发展起来的不成熟的电子商务交易 再到能够在网上完成 供 产 销全部业务流程的电子商务虚拟市场 电子商务如火如荼的发展起来了 同时 封闭的银行电子金融系统也在向开放式的网络电子银行转变 这也给电子商务的发展提 供了更大的动力 电子商务是一个发展潜力非常大的市场 极具发展前景 电子商务双向信息沟通 灵活的交易手段和快速的交货方式的特点 将会给社会带来巨大的经济效益 促进整个 社会生产力的提高 电子商务的广泛推广 打破了空间限制 改变了贸易形态 大大加 速了整个社会的商品流通 有助于降低企业成本 提高企业竞争力 尤其能够使中小型 企业直接进入国际市场参与国际市场竞争 电子商务也给消费者提供了更多的选择和更 好的便利性 电子商务是商务领域的一场信息革命 它对人类的经济活动 思维方式 工作方式和生活方式将产生根本性的影响 电子商务的发展正在逐步改变我们的生活及工作方式 原来面对面谈判 纸上交流 的管理与商务活动方式逐步变成了由计算机远距离操作完成的数字化活动方式 没有了 空间和人为条件上的限制 人们的生活和工作将变得方便 灵活和自如 特别在获取信 息 传输信息 各种服务活动 付款 送货方式等方面将有根本的变化 任何合法组织 和公司甚至个人通过在国际互连网络上建立自己的站点都可成为全球化的信息发布者 信息的获取具有了广泛的内容和选择性 贸易 商务活动中的商品认识 合同谈判 交 易都通过国际互连网信息和网络软件完成 同时电子商务也完全改变了我们当今的商务 方式 由于没有了时间和空间的限制 人们可以在家中处理业务 小公司也可以实现全 球在线订货 完成世界性商务活动 越来越多的电子货币在线付款方式在电子交易中使 用 人们不再受限制于物理现金的携带和使用 公司 商店 银行将不会以人员数量 分支机构多少 规模来区别大小 取而以营业额 信息交流多少来排列经济座次 虽然电子商务的发展势头非常惊人 但它的产值在全球生产总值中却只占极小的一 部分 原因就在于电子商务的安全问题 美国密执安大学的一个调查机构通过对 23000 名因特网用户的调查显示 超过 60 的人由于担心电子商务的安全问题而不愿意进行网上 购物 开放的信息系统必然存在众多潜在的安全隐患 黑客和反黑客 破坏和反破坏的 4 斗争仍将继续 在这样的斗争中 安全技术作为一个独特的领域越来越受到全球网络建 设者的关注 因此 从传统的基于纸张的贸易方式向电子化的贸易方式转变过程中 如 何建立一个安全 便捷的电子商务应用环境 对信息提供足够的保护 已经成为影响到 电子商务健康发展的关键性课题 电子商务是以计算机网络为基础载体的 大量重要的身份信息 会计信息 交易信 息都需要在网上进行传递 在这样的情况下 安全性问题成为首要问题 电子商务是国 民经济和社会信息化的重要组成部分 而安全性则是关系电子商务能否迅速发展的重要 因素 电子商务的安全是一个复杂系统工程 仅从技术角度防范是远远不够的 还必须 完善电子商务方面的立法 以规范飞速发展的电子商务现实中存在的各类问题 从而引 导和促进电子商务又好又快地发展 一 电子商务一 电子商务 电子商务是应用现代信息技术在 Internet 上进行的商务活动 从本质上讲 电子商 务是一组电子工具在商务过程中的应用 这些工具主要包括 电子数据交换 电子邮件 电子公告系统 条码 图像处理 智能卡等 而应用的前提和基础是完善的现代通信网 络和人们的思想意识的提高以及管理体制的转变 因此 没有现代信息技术及网络技术 的产生和发展就不可能有电子商务 一 电子商务的定义 电子商务的定义有很多 许多组织和学者都给电子商务下过定义 不同的组织和不 同的领域的学者定义的角度又不同 如从通信技术 业务流程 产品或服务的交易等不 同角度定义电子商务 但目前为止尚没有形成一个广泛统一的定义 大体上 这些定义 可以分为两大类 一类是单纯的从商品或服务的交易角度 另一类是从整个供应链的角 度 1 单纯的从商品或服务的交易角度定义电子商务成为 Electronic Commerce 简称 EC 它是指借助包括互联网在内的任何通信网络从事信息 产品和服务的营销 买卖 和交换的过程 从整个供应链角度定义的电子商务常称为 Electronic Business 简称 EB 是指 企业从原材料供应到生产 分销 零售等全部过程与经营活动的信息化 网络化 电子商务是利用电子交换技术 电子邮件 电子资金转账及互联网等技术在个人 企业和国家之间进行无纸化的业务信息的交换 随着计算机和计算机网络的应用普及 电子商务不断被赋予新的含义 电子商务作为一种新的流通方式 具有贸易效率高 交 易成本低 加速商务发展的特点 在商务活 动中证发挥着越来越重要的作用 2 精品文档 5欢迎下载5欢迎下载 二 电子商务的分类 1 按电子商务参与主体不同进行分类 电子商务可以分为 1 企业与消费者之间的电子商务 B2C 企业与消费者之间的电子商务类似于零售业 是商业电子化的零售商务 企业或商 业机构记住 Internet 开展在线销售 为广大客户提供很好的搜索和浏览功能 提供各种 与商品销售有关的服务 使消费者很容易了解到所需商品的品质和价格 2 企业与企业之间的电子商务 B2B 企业与企业之间的电子商务是电子商务应用中最重要和最受企业重视的形式 是电 子商务的主流 主要着重企业的经营效率 利用网络整体提高企业的管理 经销 产品 推广的实力水平 从而改善传统商业模式所带来的弊端 3 消费者与消费者之间的电子商务 C2C 消费者与消费者之间的电子商务是 Internet 上产生的一种新模式 是一种个人的网 上商务交易方式 也有人称之为 P2P 其中最典型的是在网上拍卖或竞买 这种模式大大 节省了消费者之间的交易成本和时间 提高了社会效益 深受消费者的喜爱 4 企业与政府之间的电子商务 B2G 企业与政府之间的电子商务涵盖了政府与企业之间的各项事务 包括政府采购 税 收 商检 管理条例发布 法规政策颁布等 在这种模式下 电子商务中政府有这两重 角色 既是电子商务的使用者 优势电子商务的宏观管理者 5 消费者与政府之间的电子商务 C2G 消费者与政府之间的电子商务包含了政府对个人的一系列管理和服务事项 包括政 府对个人身份的核实 对公民福利基金 生活保障费的发放 收集民意和处理公民的信 访及举报 政府主持的拍卖 公民的自我估税 报税及电子纳税等 2 按照电子商务交易的商务活动运作方式分类 电子商务主要包括两类基本商业活动 1 直接电子商务 直接电子商务也称完全电子商务 是指 Internet 上直接对无形的数字化产品和服务 的交易活动 它可以完全通过电子商务方式实现和完成整个交易过程 这种模式突出的 好处是快速 简便 且又十分便宜 深受客户欢迎 企业的运作成本显著降低 受限之 处是只能经营适合在网上传输的商品和服务 2 间接电子商务 6 间接电子商务也称不完全电子商务 是指在 Internet 上对有形货物的电子订货以及 交易过程中的一系列服务活动 它无法完全依靠电子商务方式实现和完成整个交易过程 3 按照电子商务使用的网络类型分类 电子商务主要包括三个类型 1 基于 EDI 的电子商务 EDI 是按着一个工人的标准和协议 将商务活动中涉及的文件标准化和格式化 通过 计算机网络 在贸易伙伴的计算机网络系统之间进行数据交换和自动处理 EDI 使用的是 专用网络 安全性比 Internet 高 因此目前主要在安全性要求较高的领域使用 2 基于 Internet 的电子商务 基于 Internet 的电子商务是目前电子商务的主要形式 它采用了当今先进的计算机 技术 通信技术 数据库技术 多媒体技术 通过 Internet 实现营销 购物等商业服务 它突破了传统商业生产 批发 零售以及进 销 存 调的流转程序和营销模式 实现 了少投入 低成本 零库存 高效率 3 基于 Intranet 的电子商务 基于 Intranet 的电子商务是指在一个大型企业的内部或一个行业内开展的电子商务 活动 它能够有效的实现企业内部之间 企业与企业之间 企业与合作伙伴之间及客户 之间的授权内数据共享和数据交换 并将每一个各自独立的网络通过互联延伸形成共享 的企业资源 方便的查询关联企业的相关数据 形成一个商务活动链 3 三 电子商务的发展历程 纵观中国电子商务发展史 从开始起步 遭遇泡沫寒冬 寒冬后的回暖 以及随之 而来的快速发展 中国的电子商务大致可分为以下五个发展阶段 1 萌芽与起步期 1997 1999 年 随着互联网全新的引入概念的传入 鼓舞了一批新经济的创业者 他们认为传统的 贸易信息借助互联网进行交流和传播将带来无限的商机 于是国内第一批电子商务网站 在 1997 年开始创办 从 1997 年到 1999 年 阿里巴巴 易趣网 当当网等知名电子商务 网站先后涌现 因此 该阶段是中国电子商务的萌芽与起步期 2 冰冻与调整期 2000 2002 年 在 2000 年至 2002 年间 互联网浮华的泡沫开始破灭 电子商务的发展受到严重的 影响 创业者的信心也经受了严峻的挑战 尤其是部分盈利模式不健全的企业更是经历 了冰与火的严峻考验 于是 中国的电子商务网站进入残酷的寒冬阶段 而一些依靠 会员 广告 模式的行业网站集群 则大 精品文档 7欢迎下载7欢迎下载 都实现了集体盈利 安然度过了互联网最为艰难的 寒潮 时期 在这三年间创建的电 子商务网站不到现有网站总数的 12 1 因此 该阶段是我国电子商务的冰冻与调整时期 3 复苏与回暖期 2003 2005 年 电子商务经历低谷后 在 2003 年开始出现了快速复苏回暖 部分电子商务网站也在 经历过泡沫破裂后 更加谨慎务实地对待盈利模式和低成本经营 4 崛起与高速发展期 2006 2007 年 互联网环境的改善 理念的普及给电子商务带来巨大的发展机遇 各类电子商务平 台会员数量迅速增加 大部分 B2B 行业电子商务网站开始实现盈利 再加上行业之间的 良性竞争和创业投资热情高涨 大大推动了我国电子商务进入新一轮高速发展与商业模 式创新阶段 衍生出更为丰富的服务形式与盈利模式 而且电子商务网站的数量也快速 增加 5 转型与升级期 2008 现在 随着全球金融海啸的到来 以及全球经济环境的迅速恶化 致使我国相当多的中小 企业陷入困境 尤其是外贸出口企业受到了极大的阻碍 而与传统产业密切相关的电子 商务也难免独善其身 受产业链波及 以出口导向型电子商务为主的服务商 纷纷关闭 或裁员重组 或增长放缓 而与此同时 在外贸转内销与扩大内需 降低销售成本的指引下 内贸在线 B2B 与 垂直细分 B2C 却获得了新一轮高速发展 B2C 取得了前所未有的发展与繁荣 而在 C2C 领域 随着搜索引擎巨头百度的进入 使得网购用户获得了更多的选择空间 行业竞争 由此也更加激烈 该时期电子商务行业优胜劣汰步伐加快 模式 产品 服务等创新层出不穷 仅在 此二年时间内创建的电子商务网站占现有网站总数的 22 3 因此 该阶段是我国电子商 务的转型与升级时期 四 电子商务的发展趋势 电子商务作为一种新兴的 处于发展过程中的现代商务方式 从 1997 年以来 得到 了迅速发展 显现了巨大的现代商业价值 在 21 世纪 电子商务将逐渐成为社会生活的 主要方式 也将成为数字化社会的基础 4 在中国 电子商务未来将呈现如下发展趋势 1 纵深化 8 我国电子商务的基础设施和支持环境将日臻完善和规范 移动通信也将成为进行电 子商务的主要媒介 网民的消费观念和行为将发生很大变化 对电子商务的接受程度将 不断提高 对于企业来说 实施电子商务的可能性会大大提高 并且随着电子商务法律 法规的出台和实施 我国的电子商务将得到有效的法律保障 随着电子商务的发展和需要 跨地区的专业性物流渠道将适时建立和完善 电子商 务的物流体系会逐步完善 这使得电子商务公司在配送体系的选择方面空间更大 成本 也将降低 企业发展电子商务的深度进一步拓展 新一代的电子商务将从网上商店和门户的初 级形态 过渡到将企业的核心业务流程 客户关系管理等都延伸到互联网上 这样会更 加互动和实时 2 个性化 电子商务个性化趋势将向两个方向发展 第一是个性化定制信息 互联网为个性化 定制信息提供了可能 消费者不仅可以实现点播 而且将促使个人参与到节目的创意 制作过程 第二是对个性化商品的需要 消费者把个人的喜好参与到商品的设计和制作 过程中去 所以 对所有面向个人消费者的电子商务活动来说 提供多样化的比传统企 业更具个性化的服务 也是决定今后成败的关键因素 3 专业化 面向消费者的垂直型网站和专业化网站前景看好 面向特定行业的专业电子商务平 台发展潜力大 今后若干年内我国上网人口仍将是以中高收入的人群为主 他们购买力 强 受教育程度较高 生活的个性化要求比较强烈 提供一条龙服务的垂直型网站及某 一类产品和服务的专业网站发展潜力很大 特别是对那些技术含量 知识含量较高的商 品和服务 对 B2B 电子商务模式来说 以行业为信托的专业电子商务平台也是未来的发 展趋势之一 4 国际化 我国的电子商务必将走向世界 电子商务将间接刺激对外贸易 发展电子商务是缩 短国内企业与国外差距的一个最有效的手段 对我国的中小企业来说 电子商务将提供 一个千载难逢的好时机 帮助他们开拓国际市场 而国外电子商务企业也将会努力开拓 中国市场 5 区域化 立足于我国国情采取有重点的区域化战略是有效地扩大网上营销规模和效益的必然 途径 我国地区经济发展的不平衡和城乡二 精品文档 9欢迎下载9欢迎下载 元结构所反映出来的经济发展的阶梯性 收入结构的层次性十分明显 在今后相当长时 间内 上网人口仍将以大城市 中等城市和沿海经济发达地区为主 电子商务模式区域 特征也非常明显 以这种模式为主的电子商务在资源规划 配送体系建设 市场推广等 方面都必须充分考虑这一现实 采取有重点的区域战略 才能最有效地扩大网上营销的 规模和效益 6 融合化 电子商务网站在最初的全面开花后必然走向新的融合 包括同类兼并 互补性兼并 和战略联盟协作 同类兼并 目前不少的网站属于重复建设之列 定位相同或相近 由 于资源总是有限的 最终胜出的只是名列前茅的企业 互补性兼并 国内那些处于领先 地位的电子商务企业的优势毕竟是相对而言的 网站下一步要发展 必然采取收购策略 而主要的模式将是互补性收购 结成战略联盟 由于个性化 专业化是电子商务发展的 两大趋势 而且每个网站的资源是有限的 但客户的需求却是全方位的 所以不同类型 的网站以战略联盟的形式进行相互协作也是必然趋势 今天 互联网已经并正在如此广泛地影响着我们的生活 正在成为人们获取信息的 主要通道 成为人们休闲娱乐的工厂 成为政府和老百姓的沟通平台 成为企业消灭贸 易中间环节 低成本快速传播 以及创造更多贸易机会的平台 电子商务的发展 不断 带来新的市场机会 传统经济和电子商务越来越紧密的结合已经成为未来经济发展的方 向 5 二 网络安全技术二 网络安全技术 一 网络安全技术的定义 网络安全技术致力于解决诸如如何有效进行介入控制 以及如何保证数据传输的安 全性的技术手段 主要包括物理安全分析技术 网络结构安全分析技术 系统安全分析 技术 管理安全分析技术 及其它的安全服务和安全机制策略 6 网络安全从本质上讲是网上信息的安全 是指网络系统的硬件 软件和系统中的数 据受到保护 不受偶然的或者是恶意的攻击而遭受破坏 更改 泄露 确保系统连续可 靠的运行 网络服务不中断 7 从广义上讲 凡是涉及网络上信息的保密性 完整心 可用性 真实性和可控性的相关技术和理论都是网络安全的研究领域 因此为保证网络 的安全 必须保证以下四个方面的安全 1 运行系统的安全 2 网络上系统信息的安全 3 网络上信息传播安全 10 4 网络上信息内容的安全 为了保证这些方面的安全 大家通常会使用一些网络安全产品 如防火墙 VPN 数 字签名等 这些安全产品和技术的使用从一定程度上满足网络安全需求 但不能满足整 体的安全需求 因为它们只能保护特定的某一方面的 而对于网络系统来讲 它需要的 是一个整体的安全策略 这个策略不仅包括安全保护 它还应该包括安全管理 实时监 控 响应和恢复措施 因为目前没有绝对的安全 无论你的网络系统布署的如何周密 你的系统总会有被攻击和攻破的可能 二 网络安全存在的问题 计算机信息网络安全面临来自多方面的信息安全威胁 其影响因素可能是系统本身 存在的安全弱点 而系统在使用 管理过程中的失误和疏漏也家具了问题的严重性 其 中有人为的因素 也有非人为的因素 归纳起来 主要有以下问题 1 网络系统本身存在的问题 1 系统漏洞 网络系统自身存在的安全因素主要是系统漏洞造成的威胁 一个系统漏洞对安全造 成的威胁时很严重的 如果攻击者获得了对系统一般用户访问权限 很可能通过系统漏 洞将自己升级为管理员权限 漏洞的产生在于程序在实现逻辑中没有考虑到的一些意外 情况 然而这些意外情况是应该被考虑到的 系统漏洞导致程序处理文件等实体时在时 序和同步方面存在问题 在处理的过程中可能存在一个机会窗口使攻击者能够施以外来 的影响 2 移动存储介质 移动存储介质由于其方便携带 存储量大等特点被广泛应用 但也是因为这些特点 给网络系统带来了安全隐患 造成网络系统不易管理 尤其是对一些涉密单位移动存储 介质的管理 现阶段的涉密介质大多缺少身份认证 访问控制和审计机制 这给网络系 统的信息安全造成很大的隐患 2 网络系统存在来自外部的问题 1 黑客的威胁 黑客具有很强的计算机网络系统知识 能够熟练使用各种计算机技术和软件工具 并且善于发现计算机网络系统自身存在的系统漏洞 漏洞成为黑客被攻击的目标或攻击 的途径 对网络系统的安全构成很大的威胁 2 计算机病毒的威胁 精品文档 11欢迎下载11欢迎下载 计算机病毒具有蔓延速度快 范围广等特点 是计算机网络系统最大的威胁 造成 的损失也难以估计 计算机病毒破坏的对象直接就是计算机系统或网络系统 一旦计算 机感染病毒以后 使系统执行效率下降 甚至造成系统死机或毁坏 造成部分文件或全 部数据丢失 严重的还会使计算机系统硬件设备损坏 3 间谍软件的威胁 间谍软件的主要目的不在于对系统进行破坏 而是窃取计算机网络系统存储的数据 信息 间谍软件的功能繁多 可以监视用户行为 或发布广告 修改系统设置 威胁用 户隐私和计算机安全 并在不同程度上影响系统的性能 3 网络系统管理机制存在的问题 1 违反规章制度而泄密 由于工作过程中对保密制度的不熟悉或疏忽造成网络系统的安全受到威胁 例如由 于不知道移动存储介质上删除的文件可以还原 将曾经存储过秘密信息的移动存储设备 借出 造成信息的泄露 2 故意泄密 故意泄密主要是指能够维护计算机系统的工作人员故意对网络安全进行破坏的行为 如系统开发人员获得使用计算机的口令和密钥进入计算机网络 窃取信息系统 数据库 内的重要秘密数据 三 网络安全技术分类 1 防火墙技术 防火墙建立于一个组织的内部网络和公共的互联网主干网之间 保护网络中无危险 的部分不受网络中有危险的部分的威胁 8 防火墙是不同网络或网络安全区域之间信息 的唯一出入口 能根据企业的安全政策控制 允许 拒绝 监测 出入网络的信息流 且本身具有较强的抗攻击能力 防火墙是保护本地系统或网络 抵制网络攻击的最重要的网络安全技术 作为访问 控制技术的代表 防火墙产品是目前世界上用的最多的网络安全产品之一 其功能也在 不断增加 防火墙通常使用的安全控制手段主要有包过滤 状态检测 代理服务 由于 它假设了网络的边界和服务 对内部的非法访问难以有效地控制 因此 最适合于相对 独立的与外部网络互连途径有限 网络服务种类相对集中的单一网络 如常见的企业专 用网 防火墙的隔离技术决定了它在电子商务安全交易中的重要作用 目前 防火墙 产品主要分为两大类 基于代理服务方式的和基于状态检测方式的 但是由于互联网的 12 开放性和复杂性 防火墙也有其固有的缺点 防火墙不能防范不经由防火墙的攻击 例 如 如果允许从受保护网内部不受限制地向外拨号 一些用户可以形成与 Internet 的直 接连接 从而绕过防火墙 造成一个潜在的后门攻击渠道 所以应该保证内部网与外部 网之间通道的唯一性 防火墙不能防止感染了病毒的软件或文件的传输 这只能在每台 主机上装反病毒的实时监控软件 防火墙不能防止数据驱动式攻击 当有些表面看来无 害的数据被邮寄或复制到 Internet 主机上并被执行而发起攻击时 就会发生数据驱动攻 击 所以对于来历不明的数据要先进行杀毒或者程序编码辨证 以防止带有后门程序 2 数据加密技术 防火墙技术是一种被动的防卫技术 它难以对电子商务活动中不安全的因素进行有 效的防卫 而数据加密技术是保障电子商务交易安全的主要安全措施 贸易方可根据需 要在信息交换的阶段使用 目前 加密技术分为两类 即对称加密 对称密钥加密 专用 密钥加密和非对称加密 公开密钥加密 现在许多机构运用 PKI 即 公开密钥体系 技 术实施构建完整的加密 签名体系 在充分利用互联网实现资源共享的前提下从真正意义 上确保了网上交易与信息传递的安全 在 PKI 中 密钥被分解为一对 即一把公开密钥或 加密密钥和一把专用密钥或解密密钥 这对密钥中的任何一把都可作为公开密钥 加密 密钥 通过非保密方式向他人公开 而另一把则作为专用密钥 解密密钥 加以保存 公开 密钥用于对机密性息的加密 专用密钥则用于对加密信息的解密 专用密钥只能由生成 密钥对的贸易方掌握 公开密钥可广泛发布 但它只对应用于生成该密钥的贸易方 3 身份认证技术 身份认证又称为身份识别 是通过对被认证对象 人或事 的一个或多个参数进行验 证 从而确定认证对象是否名实相副或有效 它是通信和数据系统正确识别通信用户或 终端的个人身份的重要途径 9 一般来说 用人的生理特征参数进行认证的安全性很高 但目前这种技术成本很高 难以实现 目前 计算机通信中采用的参数有口令 标识符 密钥 随机数等 而且一般使用基于证书的公钥密码体制 PKI 身份认证技术 要实现基 于公钥密码算法的身份认证需求就必须建立一种信任及信任验证机制 即每个网络上的 实体必须有一个可以被验证的数字标识 即 数字证书 数字证书是各实体在网上信息 交流及商务交易活动中的身份证明 具有唯一性 证书基于公钥密码体制 它将用户的公 开密钥同用户本身的属性 例如姓名 联系在一起 这就意味着应有一个网上各方都信任 的机构 专门负责对各个实体的身份进行审核 并签发和管理数字证书 这个机构就是证书 中心 即 CA CA 用自己的私钥对所有的用户属性 证书属性和用户的公钥进行数字签名 产 生用户的数字证书 在基于证书的安全通信 精品文档 13欢迎下载13欢迎下载 中 证书是证明用户合法身份和提供用户合法公钥的凭证 是建立保密通信的基础 因此 作为网络可信机构的证书管理设施 CA 主要职能就是管理和维护它所签发的证书 提供各 种证书服务 包括 证书的签发 更新 回收 归档等 4 数字签名技术 数字签名也称电子签名 在身份认证 数据完整性 不可否认性等信息安全方面有重 要应用 数字签名是非对称加密和数字摘要技术的联合应用 其主要方式为 报文发送方 从报文文本中生成一个 128bit 的散列值 或报文摘要 并用自己的专用密钥对这个散列 值进行加密 形成发送方的数字签名 然后 这个数字签名将作为报文的附件和报文一起 发送给报文的接收方 报文接收方首先从接收到的原始报文中计算出 128bit 位的散列值 或报文摘要 接着再用发送方的公开密钥来对报文附加的数字签名进行解密 如果两个 散列值相同 那么接收方就能确认该数字签名是发送方的 通过数字签名能够实现对原始 报文的鉴别和不可抵赖性 三 电子商务的安全问题及解决措施三 电子商务的安全问题及解决措施 一 电子商务安全性要求 在网上进行电子商务的活动过程是这样进行的 用户通过浏览器发出信息 该消息 经过 Internet 到达 Web 服务器 再由 Web 服务器调用 CGI 等程序访问数据库 返回用户 请求的消息给 Web 服务器 最后通过 Internet 传给用户 在这整个过程中我们可以看到 要实现电子商务安全 应该从计算机信息系统安全着手 电子商务系统 从某种意义上说 其实就是一种计算机信息系统 10 计算机信息系 统就是指由计算机及其相关的和配套的设备 设施 含网络 构成的 按照一定的应用 目标和规则对信息进行采集 加工 存储 传输 检索等处理的人机系统 电子商务系 统的安全就是由系统实体 系统运行安全 系统运行安全和系统信息安全这三个部分来 组成的 1 系统实体安全 电子商务系统安全的第一部分是实体安全 所谓实体安全 是指保护计算机设备 设施 含网络 以及其他媒体免遭地震 水灾 火灾 有害气体和其他环境事故 如电 磁污染等 破坏的措施过程 它主要由三个部分组成 1 环境安全 环境安全就是要对电子商务系统所在的环境实施安全保护 主要包括受灾的防护和 区域的防护 受灾的防护就是系统要具有受灾报警 受灾保护和受灾恢复等功能 目的 14 是保护电子商务系统免受水 火 有害气体 地震 雷击和静电的危害 区域防护就是 要对特定区域提供某种形式的保护和隔离措施 2 设备安全 设备安全是指对电子商务系统的设备进行安全保护 主要包括设备的防盗和防毁 防止电磁信息泄露 防止线路截获 抗电磁干扰以及电源保护 3 媒体安全 媒体安全是指对媒体数据和媒体本身实施安全保护 媒体数据的安全主要是提供对 媒体数据的保护 实施对媒体数据的安全删除和媒体的安全销毁 目的是为了防止被删 除或者被销毁的敏感数据被他人恢复 2 系统运行安全 电子商务系统安全的第二部分是运行安全 运行安全是指保障系统功能的安全实现 提供一套安全措施保护信息处理过程的安全 它主要由四个部分组成 1 风险分析 风险分析就是要对电子商务系统进行人工或自动的风险分析 首先要对系统进行静 态的分析 旨在发现系统的潜在安全隐患 其次是要对系统进行动态的分析 即在系统 运行过程中测试 跟踪并记录其活动 旨在发现系统运行期的安全漏洞 最后是系统运 行后的分析 并提供相应的系统脆弱性分析报告 2 审计跟踪 审计跟踪就是要对电子商务系统进行人工或自动的审计跟踪 保存审计记录和维护 详尽的审计日志 3 备份和恢复 备份和恢复就是要提供对系统设备和系统数据的备份和恢复 对数据进行备份和恢 复所使用的介质可以是磁介质 纸介质 光碟 缩微载体等 4 应急 应急措施就是要提供在紧急事件或安全事故发生时 保障电子商务系统继续运行或 紧急恢复所需要的策略 3 信息安全 信息安全是指防止信息财产被故意的或偶然的非授权泄露 更改 破坏或使信息被 非法的系统辨认 控制 它是由七个部分组成 1 操作系统安全 精品文档 15欢迎下载15欢迎下载 操作系统安全是指要对电子商务系统的硬件和软件资源实行有效控制 为所管理的 资源提供相应的安全保护 2 数据库安全 数据库安全是指对数据库系统所管理的数据和资源提供保护 一般采用多种安全机 制与操作系统相结合 来实现数据库的安全保护 3 网络安全 网络安全是指提供访问网络资源年或使用网络服务的安全保护 即通过采用各种技 术和管理措施 使网络正常运行 确保网络中数据的可用性 完整性和保密性 它涉及 网络安全管理 安全网络系统和网络系统安全部件 4 计算机病毒防护 所谓计算机病毒 是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或程序代码 计算机病毒的防护 即 通过建立系统保护机制 来预防 检测和消除病毒 5 访问控制 所谓访问控制 是对主体访问客体的权限或能力的限制 以及限制进入物理区域和 限制使用计算机系统和计算机存储数据的过程 访问控制是保证系统外部用户或内部用 户对系统资源的访问以及对敏感信息访问方式符合组织安全策略 6 加密 信息安全中的加密主要涉及数据的加密和密钥的管理 7 鉴别 鉴别主要提供身份鉴别和信息鉴别 身份鉴别是提供对信息收 发方真实身份的鉴 别 信息鉴别则是提供对信息的正确性 完整性和不可否认性的鉴别 针对电子商务的安全问题的构成 只有提供了保密性 完整性 认证性 可控性和 不可否认性这五个方面的安全性 才能满足电子商务安全的需求 1 保密性 保密性是保护机密信息不被非法存取以及信息在传输过程中不被非法窃取 2 完整性 完整性是防止信息在传输过程中丢失和重复及非法用户对信息的恶意篡改 3 认证性 认证性是确保交易信息的真实性和交易双方身份的合法性 4 可控性 16 可控性是指保证系统 数据和服务能由合法人员访问 5 不可否认性 不可否认性指的是有效防止通信或交易双方对已进行的业务的否认 二 电子商务存在的安全性问题 1 电子商务系统的安全问题 1 安全漏洞 在近几年来 计算机系统的安全漏洞越来越多 安全漏洞的大量存在 使得目前电 子商务的安全形势趋于严峻 这些漏洞可能会导致计算机系统的瘫痪和信息丢失 影响 电子商务的正常运行 2 病毒感染 我国计算机病毒主要就是蠕虫等病毒 蠕虫主要是利用系统的漏洞过行自动传播复 制 由于传播过程中产生巨大的扫描或其他攻击流量 从而使网络流量急剧上升 造成 网络访问速度变慢甚至瘫痪 这对依赖于网络的电子商务是一个严重的威胁 10 3 黑客攻击 黑客攻击主要表现在网页篡改和僵尸网络两方面 4 网络仿冒 网络仿冒通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息 如银行帐 户和口令等 甚至通过在假网页或者在邮件中嵌入恶意代码给用户计算机植入木马来直 接骗取个人信息 2 电子商务交易双方的安全问题 1 卖方面临的安全威胁 系统中心安全性被破坏 入侵者假冒成合法用户来改变用户数据 如商品送达地址 解除用户订单或生成 虚假订单 竞争者的威胁 恶意竞争者以他人的名义来订购商品 从而了解有关商品的递送状况和货物的库存 情况 商业机密的安全 客户资料被竞争者获悉 假冒的威胁 精品文档 17欢迎下载17欢迎下载 建立与销售者服务器名字相同的另一个 www 服务器来假冒销售者 虚假订单 获取 他人的机密数据 信用的威胁 买方提交订单后不付款 2 买方面临的安全威胁 虚假订单 一个假冒者可能会以客户的名字来订购商品 而且有可能收到商品 而此时客户却 被要求付款或返还商品 付款后不能收到商品 在要求客户付款后 销售商中的内部人员不将订单和钱转发给执行部门 因而使客 户不能收到商品 机密性丧失 客户有可能将秘密的个人数据或自己的身份数据发送给冒充销售商的机构 这些信 息也可能会在传递过程中被窃听 拒绝服务 攻击者可能向销售商的服务器发送大量的虚假定单来挤占它的资源 从而使合法用 户不能得到正常的服务 11 三 电子商务安全技术措施 1 数据加密技术 对数据进行加密是电子商务系统最基本的信息安全防范措施 其原理是利用加密算 法将信息明文转换成按一定加密规则生成的密文后进行传输 从而保证数据的保密性 使用数据加密技术可以解决信息本身的保密性要求 数据加密技术可分为对称密钥加密 和非对称密钥加密 对称密钥加密 对称密钥加密也叫秘密 专用密钥加密 即发送和接收数据的双方必 须使用相同的密钥对明文进行加密和解密运算 它的优点是加密 解密速度快 适合于 对大量数据进行加密 能够保证数据的机密性和完整性 缺点是当用户数量大时 分配 和管理密钥就相当困难 非对称密钥加密 非对称密钥加密也叫公开密钥加密 它主要指每个人都有一对惟 一对应的密钥 公开密钥 简称公钥 和私人密钥 简称私钥 公钥对外公开 私钥由个人 秘密保存 用其中一把密钥来加密 就只能用另一把密钥来解密 非对称密钥加密算法 的优点是易于分配和管理 缺点是算法复杂 加密速度慢 18 复杂加密技术 由于上述两种加密技术各有长短 目前比较普遍的做法是将两种技 术进行集成 例如信息发送方使用对称密钥对信息进行加密 生成的密文后再用接收方 的公钥加密对称密钥生成数字信封 然后将密文和数字信封同时发送给接收方 接收方 按相反方向解密后得到明文 2 数字签名技术 数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名 来代 替书写签名或印章 对于这种电子式的签名还可进行技术验证 其验证的准确度是一般 手工签名和图章的验证所无法比拟的 数字签名技术可以保证信息传送的完整性和不可 抵赖性 3 认证机构和数字证书 由于电子商务中的交易一般不会有使用者面对面进行 所以对交易双方身份的认定 是保障电子商务交易安全的前提 认证机构是一个公立可信的第三方 用以证实交易双 方的身份 数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的 文件 在交易支付过程中 参与方必须利用认证中心签发的数字证书来证明自己的身份 4 使用安全电子交易协议 安全电子交易协议是由 VISA 和 MasterCard 两大信用卡组织指定的标准 安全电子 交易协议用于划分与界定电子商务活动中各方的权利义务关系 给定交易信息传送流程 标准 保证了电子商务系统的保密性 完整性 不可否认性和身份的合法性 四 电子商务安全认识及展望 随着信息技术的发展 信息的处理传递速度得到了突破性的发展 不再受时间和区 域的限制 网络化和全球化已成为不可避免的发展趋势 电子商务的广泛推广 打破了 时空限制 改变了贸易形态 大大加速了整个社会的商品流通 但由于其安全问题 它 的产值在全球总值中只占极小的一部分 大大的限制了电子商务的发展 电子商务的前提条件是信息技术 特别是以 Internet 技术为代表的网络技术的应用 通过综合运用网络环境和各类系统化的电子工具 高效率 低成本 安全便利地进行产 品生产和服务 提高企业的竞争能力 但由于电子商务是以计算机网络为基础载体的 大量重要的身份信息 银行信息 交易信息都需要在网上进行传递 在这样的情况下 安全性问题就成为了首要问题 电子商务的安全是一个复杂系统的工程 仅从技术角度 防范是远远不够的 还必须完善电子商务方面的立法 规范飞速发展的电子商务现实中 存在的各类问题 引导和促进电子商务的发 精品文档 19欢迎下载19欢迎下载 展 因此 网络安全环境对电子商务的发展至关重要 只有在安全的环境下电子商务才 能够健康 快速的发展 电子商务安全技术随着电子商务的发展也在日益成熟 数据加密 数字认证等网络 安全技术已成为商务网站必不可少的组成部分 随着电子商务的发展 网络安全技术也 会向综合性 全面性发展 以便为电子商务的发展提供良好的安全环境 促进电子商务 更好 更快的发展 四 关于淘宝网的案例分析四 关于淘宝网的案例分析 一 背景简介 淘宝网 http 是国内领先的个人交易网上平台 由阿里巴巴投 资 4 5 亿创办 致力于成为全球最大的个人交易网站 自 2003 年 5 月 10 日成立以来 从零做起 短短半年时间内就迅速占领了国内个人交易市场的领先地位 创造了互联网 企业的一个发展奇迹 截止 2009 年上半年 淘宝网注册会员 1 45 亿人 覆盖了中国绝 大部分网购人群 2007 年 淘宝的交易额实现了 433 亿元 比 2006 年增长 156 2008 年 淘宝网年交易额达到 999 6 亿元 与 2007 年的 433 亿元比较 增长了 131 约占全 国社会消费品零售总额的 1 淘宝网的创立为国内互联网用户提供了更好的个人交易场所 淘宝网凭借其迅速发 展以及其在个人交易领域的独特文化 荣获了财经时报与搜狐公司 2003 年评选的国内十 大最佳投资的荣誉 淘宝网倡导诚信 活泼 高效的网络交易文化 在为淘宝会员打造 更安全高效的商品交易平台的同时 也全心营造和倡导了互帮互助 轻松愉快的家庭式 文化氛围 让每一位在淘宝网进行交易的人交易更迅速高效 并在交易的同时交到更多 朋友 成为越来越多网民网上创业和以商会友的最先选择 12 二 交易流程 1 淘宝的用户权限 淘宝网采用会员制 只对注册会员提供交易服务 会员可利用淘宝提供的第三方支 付工具 支付宝 来完成交易 提高交易双方网上交易的信用度 会员可使用即时 交易沟通工具 淘宝旺旺 等进行交流 目的是让交易双方更加方便快捷的进行网上交 易 淘宝还提供留言管理 站内信件 淘宝社区等非实时的会员交流 协商方式 淘宝 社区作为一个反馈论坛 有专人管理 促进了淘宝自律机制的动态发展 2 淘宝的注册认证机制 用户通过虚拟的会员名 E mail 进行注册 在填写信息 激活账号后完成注册 为 防止程序恶意注册 设置了校验码程序 激活程序有两种方法 E mail 和手机 一个手 20 机只能激活一个用户账号 用激活的用户账号就可以登录淘宝网首页选择要购买的商 品 也可以发布求购信息 等卖家来联系你 对于卖家则需要通过实名认证 并发布 10 件商品才可以在淘宝网上开店 淘宝网为 卖家提供电子店铺主页 橱窗位等供商品展示 卖家发布商品 可根据其需要用 一口 价 拍卖 两种方式进行发布 到期没有卖出的商品可以到虚拟仓库中重新上架发 布 时间重新计算 用户还可以参加淘宝组织的各类产品德促销 广告活动 3 实名认证 登录淘宝网 在我的淘宝点击 实名认证 进入认证申请页面 会出现 个人认证 和 商家认证 两种方式 填写所需资料并提供在有效期内证件 有效期 3 个月内的证 件不予受理 和固定电话 未满 18 周岁不可以成为淘宝的认证人员 通过认证的会员不 允许修改真实姓名和身份证号码 个人认证可用证件 身份证 护照 驾照 军官证 户籍证明 户籍证明必须原件 邮寄 澳门会员需提供回乡证 台湾会员需出具台胞证及大陆担保人身份证明 同时须 提供大陆担保人的联系电话 非中华人民共和国证件的人员 必须有国内的担保人同时 上传身份证明和联系电话 商家认证是指具有法人资格的商家所进行的认证 不包括无字号的商店 商家认证 需提供 有效身份证件 公司营业执照 授权委托书 必须保证在淘宝上出售的商品与 营业执照中经营范围相一致 否则淘宝有权追究责任 如果用支付宝时无法提供公司账 号的 建议申请个人认证 否则将会导致支付宝无法汇款到账 淘宝网与全国公安部门下属身份证查询中心合作 将认证资料交由国家有关部门进 行核对认证 并进行固定电话审核 验证需三个工作日 并以站内信件 电子邮件或电 话通知结果 一旦淘宝发现用户注册资料中主要内容是虚假的 淘宝可以随时终止与该 用户的服务协议 4 支宝的交易流程 买家通过在淘宝网站浏览找到自己喜欢的商品 可以点击 立刻购买 输入购买的 数量 选择收货地址和运送方式后确认无误后点击 确认无误 购买 然后在核对完拍 下的宝贝信息后选择付款方式 完成购买 还可以选用 购物车 程序进行购买 方便 用户购买数量多付款时带来的不便 在买家付款前 双方可以通过淘宝旺旺 E mail 等各种实时或非实时聊天工具进行 协商 卖家还可以进入支付宝交易管理中 重新调整物流的承运商和调整给买家的折扣 找到需要修改价格的商品 点击 修改交易 精品文档 21欢迎下载21欢迎下载 价格 可选择修改物流承运商和调整给买家的折扣 一旦修改成功 系统将发送一封包 含本次交易的修改内容的邮件给买家确认 买家购买商品以后 卖家可以在已卖出的商品中看到交易状态为 等待买家付款 当买家付款到支付宝后 系统会通知卖家发货 卖家可以自己找物流承运商发货 核对 交易信息无误后输入承运公司名称和承运单号码 点击 确认发货 卖家可以选择支付 宝推荐的物流承运商发货 核对交易信息无误后输入物流来上门取货的时间及取货地址 点击 通知物流公司上门取货 系统会根据物流公司的反馈自动确认已发货 卖家可以 在 交易管理 中查询本次交易 填入承运单号码 点击 确认发货 完成发货后系统 会